Стандарт утвержден БР и размещен по этой ссылке.
¶ 1. Предисловие
Настоящий стандарт разработан Ассоциацией развития финансовых технологий (Ассоциацией ФинТех) при участии Центрального банка Российской Федерации (Банка России).
ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 19 декабря 2025 года № ОД-2891
«О введении в действие стандарта Банка России СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах Пользователя. Правила взаимодействия».
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
¶ 2. Введение
Настоящий стандарт содержит описание общих правил взаимодействия Поставщиков услуг (ПУ) и Сторонних поставщиков услуг (СПУ), используемых в процессе получения информации о банковских счетах Пользователя в среде Открытых программных интерфейсов.
¶ 2.1. Область применения
Настоящий стандарт рекомендован к использованию организациями при обмене финансовыми сообщениями в среде Открытых программных интерфейсов.
Настоящий стандарт предназначен для:
- участников обмена информацией о банковских счетах физических лиц, а также связанной с ними информацией;
- разработчиков информационного и программного обеспечения.
Положения настоящего стандарта носят рекомендательный характер и применяются совместно со следующими документами:
- Стандарт Банка России СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID» (далее - ФАПИ.СЕК).
- Стандарт Банка России СТО БР ФАПИ.ПАОК-1.0-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу» (далее - ФАПИ.ПАОК).
- Стандарт Банка России СТО БР «Открытые программные интерфейсы. Общие положения».
- Стандарт Банка России СТО БР «Открытые программные интерфейсы. Глоссарий».
- Стандарт Банка России СТО БР «Открытые программные интерфейсы. Общие требования к прикладным стандартам. Технический стандарт».
- Стандарт Банка России СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах Пользователя. Описание взаимодействия».
- Стандарт Банка России СТО БР «Открытые программные интерфейсы. Получение согласия на доступ к информации о банковских счетах Пользователя. Методы для физических лиц».
- Стандарт Банка России СТО БР «Открытые программные интерфейсы. Получение согласия на доступ к информации о банковских счетах Пользователя. Методы для юридических лиц».
- Стандарт Банка России СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах Пользователя. Методы для физических лиц».
- Стандарт Банка России СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах Пользователя. Методы для юридических лиц».
- Другими документами комплекса стандартов Открытых API, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет».
¶ 2.2. Термины и определения
В соответствии со стандартами ФАПИ.СЕК, ФАПИ.ПАОК, «Открытые программные интерфейсы. Общие положения», «Открытые программные интерфейсы. Глоссарий».
¶ 3. Цель и назначение взаимодействия
Настоящий стандарт описывает модель взаимодействия между Сторонними поставщиками услуг (СПУ) и Поставщиками услуг(ПУ). Данное взаимодействие осуществляется с целью предоставления Пользователю Информационного сервиса.
Настоящий стандарт устанавливает правила для такой модели взаимодействия, преследуя следующие цели:
- повышение качества и удобства предоставления финансовых услуг для Пользователя за счет возможности консолидированного управления информацией из различных источников;
- создание основы для разработки Сторонними поставщиками услуг (СПУ) инновационных и конкурентоспособных клиентских сервисов;
- обеспечение безопасного, прозрачного и контролируемого Пользователем обмена данными между участниками среды Открытых программных интерфейсов.
Информационный сервис предусматривает возможность проведения анализа данных Пользователя по одному или нескольким банковским счетам (далее – счет), включая информацию об остатках денежных средств, об операциях по счету, а также данные по продуктам, привязанным к такому счету. Участники взаимодействия обеспечивают конфиденциальность информации, доступ к которой получен с использованием информационного сервиса, и не допускают передачу конфиденциальной информации третьих лиц.
Информационный сервис предоставляется Пользователю Сторонним поставщиком услуг (СПУ) в соответствии с правилами, определяемыми Сторонним поставщиком услуг (СПУ) с учетом правил взаимодействия в среде Открытых программных интерфейсов.
¶ 4. Схема взаимодействия
Схема взаимодействия участников в рамках предоставления Информационного сервиса:
- Пользователь инициирует процесс получения услуги, для предоставления которой требуется информация о его счете на стороне Стороннего поставщика услуг (СПУ).
- Сторонний поставщик услуг (СПУ) создает ресурс согласия Пользователя на доступ к информации по счетам Пользователя (далее – согласие) на стороне Поставщика услуг (ПУ), при этом согласие не имеет юридической силы до авторизации согласия Пользователем на стороне Поставщика услуг (ПУ) (Черновик согласия).
- Пользователь авторизует согласие на стороне Поставщика услуг (ПУ), подтверждая свое намерение предоставить Стороннему поставщику услуг (СПУ) данные о счете. Авторизованное согласие Пользователя представляет собой согласие Пользователя на предоставление Поставщиком услуг (ПУ) информации по счету Пользователя Стороннему поставщику услуг (СПУ) и разрешение Стороннему поставщику услуг (СПУ) получать информацию по счету Пользователя от Поставщика услуг (ПУ).
- Сторонний поставщик услуг (СПУ) запрашивает и получает данные о согласии от Поставщика услуг (ПУ).
- Сторонний поставщик услуг (СПУ) запрашивает данные о счете Пользователя у Поставщика услуг (ПУ).
- Сторонний поставщик услуг (СПУ) получает данные о счете Пользователя от Поставщика услуг (ПУ), на основании предоставленного согласия.
- На основании полученных данных Сторонний поставщик услуг (СПУ) предоставляет Пользователю услугу, которую Пользователь инициировал на шаге (1).
¶ 5. Согласие
Процесс получения согласия является ключевым элементом взаимодействия и позволяет Пользователю безопасно и контролируемо предоставлять Стороннему поставщику услуг (СПУ) разрешение на доступ к своим данным у Поставщика услуг (ПУ).
Процесс получения согласия состоит из двух ключевых этапов: инициирование запроса на создание ресурса согласия Сторонним поставщиком услуг (СПУ) и авторизация такого согласия Пользователем в интерфейсе Поставщика услуг (ПУ).
- Инициирование запроса на создание ресурса согласия (client credentials flow).
Сторонний поставщик услуг (СПУ) проходит аутентификацию на сервере Поставщика услуг (ПУ) как доверенное приложение, инициирует создание запроса на создание ресурса согласия. Сторонний поставщик услуг (СПУ) передает Поставщику услуг (ПУ) параметры запрашиваемого доступа (например, какие данные нужны и на какой срок). В ответ на запрос Поставщик услуг (ПУ) создает ресурс согласия присваивает ему статус «AwaitingAuthorisation» и возвращает Стороннему поставщику услуг (СПУ) уникальный идентификатор созданного ресурса согласия (consentId). На этом этапе взаимодействие происходит между двумя системами без участия Пользователя.
- Авторизация согласия Пользователем (hybrid flow).
Получив consentId, Сторонний поставщик услуг (СПУ) перенаправляет Пользователя на страницу Поставщика услуг (ПУ) авторизации этого конкретного согласия в интерфейсе ПУ. Пользователь проходит аутентификацию на стороне Поставщика услуг (ПУ) (например, вводит логин и пароль от интернет-банка), проверяет детали запрашиваемого доступа и авторизует свое согласие.
После успешной авторизации согласия Поставщик услуг (ПУ) сообщает Стороннему поставщику услуг (СПУ), что согласие авторизовано, и предоставляет ему технические средства(код авторизации) для дальнейшего обмена его на токен доступа и получения данных в рамках предоставленного доступа по согласию.
Пользователь может управлять выданными им согласиями, в том числе давать одно или несколько согласий одному или разным Поставщикам услуг (ПУ).
Формирование Поставщиком услуг (ПУ) согласия Пользователя на доступ к информации по его счетам у Стороннего поставщика услуг (СПУ) включает в себя следующие шаги:
- подтверждение Пользователем намерения использовать услугу по предоставлению Информационного сервиса Стороннего поставщика услуг (СПУ);
- инициация запроса на создание согласия во взаимодействии Стороннего поставщика услуг (СПУ) с Поставщиком услуг (ПУ);
- авторизация согласия Пользователем в интерфейсе Поставщика услуг (ПУ);
- запрос состояния согласия Сторонним поставщиком услуг (СПУ);
- информирование Пользователя о состоянии согласия Сторонним поставщиком услуг (СПУ).
Для синхронизации информации Сторонний поставщик услуг (СПУ) может направлять Поставщику услуг (ПУ) запросы для получения актуальной информации о состоянии согласия.
Согласие Пользователя начинает действовать после его успешной авторизации Пользователем на стороне Поставщика услуг (ПУ).
Согласие Пользователя прекращает действие:
- когда Пользователь отзывает свое согласие(на стороне Поставщика услуг (ПУ) или Стороннего поставщика услуг (СПУ));
- по окончании срока действия согласия.
¶ 5.1. Информирование о содержании Информационного сервиса
Сторонний поставщик услуг (СПУ) предварительно информирует Пользователя о содержании предлагаемого Информационного сервиса, предоставив сведения, достаточные для принятия Пользователем обоснованного решения о начале использования Информационного сервиса, включая:
- цель и общее описание Информационного сервиса;
- информацию о защите прав Пользователя в соответствии с требованиями стандарта Банка России СТО БР «Открытые программные интерфейсы. Общие положения»;
- данные о других сторонах, кроме Стороннего поставщика услуг (СПУ), если они смогут иметь доступ к предоставляемой Пользователем информации в обезличенном виде;
- сведения об организации в реестре участников среды Открытых программных интерфейсов на допуск как участника среды в роли Стороннего поставщика услуг (СПУ);
- срок действия согласия может быть выбран Пользователем в процессе его выдачи;
- информацию о возможности и способе отзыва Пользователем согласия и последствиях этого отзыва с точки зрения предоставления Информационного сервиса Сторонним поставщиком услуг (СПУ) и управления Пользователем ранее использованных данных;
- другие сведения об Информационном сервисе на усмотрение Стороннего поставщика услуг (СПУ).
Сторонний поставщик услуг (СПУ) не запрашивает согласие Пользователя на получение данных, не связанных с целями предоставляемого Информационного сервиса. Пользователь подтверждает Стороннему поставщику услуг (СПУ) намерение получать информацию о счете через Информационный сервис Открытых программных интерфейсов и дать согласие Стороннему поставщику услуг (СПУ) на доступ к своим данным, содержащее информацию о том, к каким данным Пользователь готов предоставить доступ, срок действия согласия и даты начала и окончания периода операций по счету, к которым относится данное согласие.
¶ 5.2. Подтверждение намерения
Для подтверждения намерения об использовании услуги по предоставлению Информационного сервиса Пользователь заполняет параметры согласия на стороне Стороннего поставщика услуг (СПУ).
Сторонний поставщик услуг (СПУ) предоставляет Пользователю возможность выбора Поставщика услуг (ПУ), чтобы запрос на согласие мог быть направлен Сторонним поставщиком услуг (СПУ) в соответствии с содержанием запроса.
После подтверждения выбора Пользователь переходит к Поставщику услуг (ПУ) для авторизации согласия Пользователя, о чем Сторонний поставщик услуг (СПУ) сообщает Пользователю до осуществления перенаправления.
Сторонний поставщик услуг (СПУ) разъясняет Пользователю назначение каждого параметра согласия и последствия его применения, предоставить возможность просмотреть детали согласия.
К параметрам согласия относятся:
- Указание типа данных, к которым Пользователь готов предоставить доступ: счет; баланс; операции по счету; выписка; привязанные к счету продукты.
- Указание категорий(кластеров) данных (далее – категории данных) с учетом права Пользователя предоставлять базовую или детализированную информацию для анализа Сторонним поставщиком услуг (СПУ).
Пользователь указывает категории данных, к которым Сторонний поставщик услуг (СПУ) получает доступ (например, базовая/детализированная информация). Базовые данные входят в состав детализированных, при отсутствии детализации все данные соответствующего типа рассматриваются в качестве базовых.
Пользователь может просматривать и управлять атрибутами согласия (срок действия, даты начала/ окончания периода операций) в рамках доступного функционала в интерфейсе Поставщика услуг (ПУ).
Во всех случаях Пользователь на этапе авторизации согласия в интерфейсе Поставщика услуг (ПУ) указывает как типы, так и категории данных для доступа к ним Стороннего поставщика услуг (СПУ), а также:
- Дату и время истечения срока действия согласия.
- Даты начала и окончания периода операций по счету, к которым относится данное согласие. Являются не обязательными для заполнения, одна дата может быть указана без другой.
- Счета, по которым Пользователь разрешает Поставщику услуг (ПУ) предоставлять данные Стороннему поставщику услуг (СПУ).
¶ 5.3. Создание согласия
Для создания согласия Сторонний поставщик услуг (СПУ) направляет запрос Поставщику услуг (ПУ), содержащий в неизменном виде определенные Пользователем атрибуты согласия.
Поставщик услуг (ПУ) проводит контроль содержания атрибутов согласия на соответствие установленным шаблонам, определяет возможность предоставления Информационного сервиса Пользователю и сообщает о результатах контроля Стороннему поставщику услуг (СПУ).
При положительных результатах Поставщик услуг (ПУ) ожидает перенаправления к нему Пользователя Сторонним поставщиком услуг (СПУ) для авторизации согласия.
При отрицательных результатах контроля содержания атрибутов согласия Сторонний поставщик услуг (СПУ) направляет Пользователю сообщение с учетом содержания сообщения Поставщика услуг (ПУ) об отрицательных результатах контроля содержания атрибутов согласия.
¶ 5.4. Авторизация согласия
Получив от Поставщика услуг (ПУ) сообщение о положительных результатах контроля содержания атрибутов согласия, Сторонний поставщик услуг (СПУ) информирует Пользователя о необходимости завершить авторизацию и предлагает ему подтвердить переход в интерфейс ПУ, затем СПУ инициирует процесс авторизации.
После перехода Пользователя Поставщик услуг (ПУ) проводит аутентификацию Пользователя требуемым методом и подтверждает Пользователю данные по Стороннему поставщику услуг (СПУ).
Поставщик услуг (ПУ) предпринимает возможные меры по исключению возможности изменения полученного согласия, а также предоставляет Пользователю список доступных счетов, по которым Поставщику услуг разрешается предоставлять данные Стороннему поставщику услуг (СПУ). Пользователь выбирает хотя бы один счет.
Пользователь проверяет корректность данных по Стороннему поставщику услуг (СПУ), неизменность предоставленных им ранее параметров согласия и завершает авторизацию согласия подтверждающим действием, предложенным Поставщиком услуг (ПУ) способом.
Авторизация согласия не выполняется в случае, если Пользователь отказался подтвердить согласие или не выбрал хотя бы один счет.
¶ 5.5. Информирование о состоянии согласия
При завершении авторизации согласия Поставщик услуг (ПУ) подтверждает Стороннему поставщику услуг (СПУ) ввод в действие согласия (авторизованное согласие).
Одновременно Поставщик услуг (ПУ) уведомляет Пользователя о возможности вернуться обратно к Стороннему поставщику услуг (СПУ).
¶ 5.6. Уведомление о состоянии согласия
При получении подтверждения от Поставщика услуг (ПУ) Сторонний поставщик услуг (СПУ) уведомляет Пользователя о завершении авторизации согласия.
Для поддержания согласия в активном состоянии Стороннему поставщику услуг (СПУ) рекомендуется своевременно предлагать Пользователю повторную авторизацию текущего согласия (в случае перевыпуска токенов для действующего согласия в результате утери или истечения срока действия токенов, согласно СТО БР «Открытые программные интерфейсы. Получение информации о счетах Пользователя. Спецификация API. Описание взаимодействия», п. «Повторная авторизация согласия»).
В случае, если Пользователь не производит повторную авторизацию, доступ к данным по такому согласию приостанавливается до момента прохождения следующей успешной авторизации, но не позднее истечения общего срока действия согласия (expirationDateTime).
Пользователю предоставляется возможность в любой момент ознакомиться с полной версией согласия как на стороне Стороннего поставщика услуг (СПУ), так и на стороне Поставщика услуг (ПУ).
Описание согласия предоставляется для каждого согласия отдельно в разрезе типов данных и их категорий для отображения в отдельности каждого разрешения на данные.
¶ 5.7. Отзыв, изменение согласия
Пользователю предоставляется возможность отозвать согласие как через Стороннего поставщика услуг (СПУ), так и со стороны Поставщика услуг (ПУ).
В случае необходимости изменения согласия Пользователь отзывает действующее согласие, в котором планируются изменения, и авторизует новое согласие.
Если в соответствии со статьей 858 Гражданского кодекса Российской Федерации в отношении счета, по которому дано согласие, применяется ограничение распоряжения Пользователем денежными средствами, находящимися на счете, то данный счет удаляется из списка предоставления доступа, при этом Поставщик услуг (ПУ) не отменяет доступ Стороннего поставщика услуг (СПУ) к другим счетам, связанным с тем же авторизированным согласием.
¶ 5.7.1. Инициирование отзыва согласия через Стороннего поставщика услуг
Отзыв согласия Пользователя включает в себя следующие шаги:
- отзыв согласия, направляемый Пользователем Стороннему поставщику услуг;
- направление Сторонним поставщиком услуг запроса Поставщику услуг о необходимости удаления согласия;
- подтверждение об удалении согласия, направляемое Поставщиком услуг Стороннему поставщику услуг;
- уведомление Сторонним поставщиком услуг Пользователя об удалении согласия.
Сторонний поставщик услуг должен обеспечить Пользователю возможность просматривать в удобном виде все действующие согласия и отзывать свои согласия в любое время.
При отзыве согласия, направляемого Пользователем, Сторонний поставщик услуг (СПУ) разъясняет Пользователю последствия отзыва согласия, сообщив о возможных ограничениях в части предоставления конкретной услуги Пользователю.
После направления Сторонним поставщиком услуг (СПУ) сообщения Поставщику услуг (ПУ) удаление согласия происходит без участия Пользователя. При этом Поставщик услуг (ПУ) информирует Стороннего поставщика услуг (СПУ) об удалении согласия и гарантирует невозможность приема от Стороннего поставщика услуг (СПУ) запросов на получение данных по отозванному согласию.
Вместе с последующим уведомлением Сторонним поставщиком услуг (СПУ) Пользователя об удалении согласия Поставщику услуг (ПУ) целесообразно дополнительно информировать об этом Пользователя по согласованным сторонами каналам.
¶ 5.7.2. Отзыв со стороны Поставщика услуг
Поставщик услуг (ПУ) обеспечивает Пользователю возможность просматривать в удобном виде все предоставленные им согласия и отзывать их в любое время.
Сторонний поставщик услуг (СПУ) может направлять Поставщику услуг (ПУ) запросы для получения актуальной информации о состоянии согласий.
¶ 5.7.3. Управление использованными данными
В соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» после отзыва согласия Пользователем дальнейшее использование его данных не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации.
В рамках исполнения указанных требований Сторонний поставщик услуг (СПУ) предоставляет Пользователю возможность управлять данными, полученными в рамках согласия.
Сторонний поставщик услуг (СПУ) информирует Пользователя о последствиях каждого действия, а также как конкретный выбор повлияет на дальнейшее предоставление Информационного сервиса.
Детальные требования к процедурам информирования, удаления и обезличивания данных определены в документе СТО БР «Открытые программные интерфейсы. Общие положения».
¶ 6. Набор данных
Для получения данных в соответствии с авторизованным согласием Сторонний поставщик услуг (СПУ)
направляет Поставщику услуг (ПУ) запрос на предоставление сведений по счетам Получателя, к которым предоставлен доступ Стороннему поставщику услуг (СПУ).
На основе полученных сведений Сторонний поставщик услуг (СПУ) формирует целевые запросы в адрес Поставщика услуг (ПУ) для получения данных по конкретным счетам, группам счетов или по всем счетам, к которым разрешен доступ Стороннему поставщику услуг (СПУ) в соответствии с согласием, и представляет с учетом этих данных запрошенную Пользователем услугу.
¶ 6.1. Доступ к данным Стороннему поставщику услуг (СПУ)
Настоящим стандартом предусмотрена возможность предоставления Пользователем доступа Стороннему поставщику услуг (СПУ) к следующим данным по его счетам. Поставщик услуг (ПУ) реализует все перечисленные ниже блоки данных, если иное не указано дополнительно.
¶ 6.1.1. Счет (для физических и юридических лиц):
- уникальный идентификатор счета (AccountId);
- статус счета (Status);
- валюта ведения счета (Currency);
- тип счета (AccountType);
- описание назначения счета (AccountDescription).
¶ 6.1.2. Баланс (для физических и юридических лиц):
- тип остатка (Type);
- сумма остатка (Amount);
- признак дебета/кредита (CreditDebitIndicator);
- дата и время расчета остатка (DateTime);
Примечание: Информация о кредитных лимитах может передаваться как один из типов баланса.
¶ 6.1.3. Операции по счету (для физических лиц):
- история движения средств по счету (включая сумму, дату, статус и направление операции);
- статус проведения операции.
¶ 6.1.4. Выписка (только для юридических Лиц):
- информация по операциям на счете за выбранный период;
- детализация операций (назначение);
- статус проведения операции.
¶ 6.1.5. Платежные карты (только для физических лиц, реализация опциональна):
- общая информация о платежных картах;
- нечувствительные данные (маскированный номер, тип, срок действия);
¶ 6.1.6. Финансовые продукты (только для физических лиц, реализация опциональна):
- список банковских продуктов, привязанных к счету;
- основная информация о продуктах.